TIDAK sampai 48 Jam sejak ransomware WannaCry terdeteksi pertamakali pada Jumat (12/5) pukul 9am UTC, para pelaku keamanan komputer sudah bisa bernafas lega. Setidaknya proses penyebaran ransomware ini bisa dihentikan sementara. Kabar menggembirakan itu muncul ketika tersiar berita bahwa seorang pekerja IT yang masih muda berhasil mengurai kode program dari ransomware WannaCry dan menemukan bagian program yang menjadi langkah utama dalam proses infeksi. Bagian program tersebut dikenal dengan istilah killswitch yaitu sebuah kondisi program dimana apabila kondisi tertentu dipenuhi maka lakukan proses infeksi dan penyebaran. Sementara bila kondisi tidak dipenuhi maka proses penyebaran dihentikan.
Menurut sumber sejumlah media, WannaCry telah berhasil menginfeksi lebih dari 230.000 komputer setidaknya di 100 negara. Hingga Minggu (14/5) telah tercatat 134 pembayaran yang telah dilakukan dengan nominal sekitar $US 40.000. Dan Senin (15/5), saat semua aktivitas berjalan kembali setelah melewati masa libur akhir pekan menjadi satu momen penting dari sejauh mana dampak luasnya WannaCry.
Berbagai imbauan, poster mulai tersebar melalui berbagai berbagai channel komunikasi untuk memberikan panduan kepada setiap orang agar jangan menjadi korban dari WannaCry ini. Hari Senin pagi hingga siang terjadi sebuah keadaan yang disebut dengan internet blackout, dimana sebagian besar para pegawai dan instansi berusaha untuk mematikan koneksi internetnya sebagai upaya untuk mengurangi potensi terkena serangan WannaCry. Kondisi ini mau tidak mau menyebabkan sedikit terganggunya beberapa layanan masyarakat terutama yang prosesnya berbasiskan pada koneksi jaringan computer.
Selanjutnya, pertanyaan utama mungkin ada pada pikiran setiap orang sekarang adalah apakah WannaCry benar-benar sudah berhasil dihentikan dan tidak akan muncul kembali?
Teknik KillSwitch yang dilakukan untuk menghentikan WannaCry sebenarya sifatnya adalah sementara. Cara kerja dari KillSwitch ini adalah berusaha untuk melakukan koneksi ke domain yang seharusnya tidak ada. Namun ternyata kemudian domain yang dimaksud sudah didaftarkan oleh seorang analis malware (berubah menjadi active domain). Selanjutnya karena domain tersebut benar-benar ada, maka malware WannaCry ini akan berhenti menginfeksi.
Karena cukup fenomenal, maka semua hal yang terkait dengan WannaCry akhirnya terbuka ke publik, termasuk sample malware-nya. Bagi analis malware sample diperlukan untuk melakukan analisis reverse engineering bagaimana cara kerja malware ini sehingga dapat diketahui karakteristik infeksi dan penyebarannya. Sayangnya pada sisi yang lain, sample yang sama juga dianalisis oleh pihak-pihak tertentu untuk memperbaiki celah kelemahan dari WannaCry ini.
Dalam hal ini tidak lama setelah muncul berita tentang keberhasilan seorang analisis malware dari Malware Tech menghentikan penyebaran WannaCry ini, muncul varian baru dari WannaCry. Varian baru ini konon telah mampu mengatasi kelemahan cara kerja WannaCry yang telah beredar sebelumnya. Berdasarkankan informasi dari sejumlah analis malware dari Kaspesrky, varian baru dari WannaCry tidak lagi melakukan domain kill-switch yang sudah terdeteksi pada versi WannaCry sebelumnya. Varian baru ini konon menggunakan cara kerja dengan logika terbalik. Bila dapat melakukan koneksi langsung ke domain tertentu maka WannaCry akan berhenti sementara bila tidak dapat melakukan koneksi langsung maka Wannacry tetap akan bekerja.
Fakta tersebut menunjukkan bahwa para pelaku cybercrime terus berusaha untuk melakukan berbagai upaya menjalankan aksi-aksi jahatnya. Laporan analis keamanan Hongkong menyebutkan bahwa dari data analisis yang dilakukan pada sejumlah korban yang terkena infeksi Wannacry, terdapat setidaknya 25 varian baru dari WannaCry.
Terdapat banyak pelajaran yang dapat diambil dari kasus WannaCry ini, pertama adalah munculnya security awareness pada setiap instansi dan individu. Security awareness sangatlah penting dan harus ditingkatkan agar dapat meminimalkan terjadinya korban cybercrime. Kedua adalah adalah warning kepada pengelola sistem dan penggiat keamanan komputer bahwa issue ransomware akan menjadi tantangan utama cybercrime dan cyberattack pada waktu yang akan datang. Ketiga munculnya kepedulian terhadap security update dari sistem, dari satu aspek kepedulian ini akan berdampak pada dorongan dari setiap pengguna aplikasi untuk menggunalan versi berbayar dari sistem yang digunakan agar tetap mendapat dukungan security update dari vendornya. Bila tidak, maka alternative penggunaan opensource adalah menjadi solusi utamanya.
(Yudi Prayudi MKom. Kepala Pusat Digital Forensik UII. Artikel ini dimuat Surat Kabar Harian Kedaulatan Rakyat, Selasa 16 Mei 2017)